APT,進階持續性滲透攻擊,全名為「Advanced Persistent Threat」,特點為精心策畫的進階攻擊(Advanced)和持續潛伏(Persistent)。是針對特定組織所作的複雜、多方位的網路攻擊,此攻擊可能持續幾天、幾週、幾個月,甚至更長的時間,如果一個攻擊戰術行不通,就會再嘗試另外一個攻擊手法,直到攻擊成功為止。眾至不只思考單一的對策,而是建立多層次的總體解決方案。
APT攻擊流程
早期
透過郵件駭入受害者電腦中,收集跟網路設定和伺服器作業系統有關的詳細資訊。
中期
安裝Rootkit或其他惡意軟體,以取得控制權或是跟命令與控制伺服器建立連線。
後期
複製機密資訊或是敏感數據來竊取知識產權,造成企業損失。
APT攻擊的解決方案
使用者密碼加密
一旦駭客取得管理者的權限,便可在管理介面得知所有使用者的帳密。使用者密碼加密機制可保障帳戶安全,此機制能夠設定即便是管理者也無法知道任何使用者的密碼,避免密碼清單外洩。
社交工程演練
近年來政府機構開始加強資安威脅通報和實施定期社交工程演練,以確保內部人員保持一定的資安意識。眾至的社交工程演練可有效測試企業人員的資安意識,參考多種實際案例的狀況,例如票卷贈送、旅遊補助、時事新聞等主題,精心還原釣魚郵件攻擊場景;並可依照企業組織架構、受測行為量身訂做詳細的分析報告,由專業工程團隊提供解說和後續資安教育訓練,幫助企業提升網路安全。
惡意連結過濾機制
超過80%的網路犯罪透過郵件作為滲透工具,郵件內文中可能夾帶惡意連結。啟動眾至的惡意連結過濾機制,將有害的URL進行隔離、刪除,這樣一來能降低使用者看到連結、誤觸的機率。
稽核加密信件
針對未加密附件檔的可疑郵件,眾至郵件伺服器搭配卡巴斯基特徵碼資料庫,可針對夾帶的附檔進行掃描和阻擋,並且在信件主旨加註警語提醒收件者。若是加密的附件檔,也能透過一般稽核條例設定攔截帶有附檔的郵件。
病毒信件過濾
内建兩套防毒引擎,Clam AV 與需選購的Kaspersky 。掃毒軟體 Clam AV 可偵測數百萬種以上的病毒、蠕蟲、木馬程式,病毒引擎會自動掃描郵件附檔,每日透過網路自動更新病毒檔,並提供病毒郵件排行榜報告。選購的卡巴斯基防毒(Kaspersky)在兼顧效能與偵測下提供企業頂級的網路安全防護,抵禦病毒、惡意軟體、垃圾郵件及其他各種威脅。
異常寄送偵測模式
利用勒索信件異常寄送偵測模式的設定,可解析信件主旨、附件檔,若附件檔裡有壓縮檔、特定附檔格式或是附件檔名前幾個字元相同,可進行隔離、封鎖處置,避免企業用戶遭受勒索病毒的危害。
Sandstorm資料庫
眾至獨有的Sandstorm分析會過濾未知的附件檔(如:docx、pdf、rar、exe)以及內文中的URL連結。若該檔案、連結被系統判定為惡意郵件,郵件可設定相對應的處置方式(判入隔離區、更改檔名、刪除),並由系統發送分析結果告知使用者,建立安心的郵件環境。